トレンドマイクロは、シェルスクリプトを使用して不正な活動を行う攻撃を再び確認しました。これらのシェルスクリプトは、公開されているコンテナリポジトリ上のランダムなイメージとして作成されていました。このようなシェルスクリプトにはバックドアなどの不正要素が含まれている可能性があるため、実行することによるセキュリティ上のリスクがあることを認識する必要があります。過去の攻撃では、そのような不正なシェルスクリプトの多くはコインマイナーを展開するために使用されていました。しかし、新しいサンプルを利用した最近の事例では、シェルスクリプトがコインマイナーのダウンローダとしてではなく別の目的を果たしており、どのように開発されているかを明確にしています。トレンドマイクロでは今回の調査により判明したコマンド&コントロール(C&C)サーバのURL、文字列、暗号鍵、サンプルで使用されている言語などの特徴から、この最新の攻撃はハッキング集団「TeamTNT」によるものと推測しています。
トレンドマイクロは、台湾の政府機関、研究機関、大学など複数の組織をターゲットとする新しいキャンペーンを確認しました。2019年5月から開始していたこのキャンペーンは、台湾で広く利用されているWebメールのシステムにJavaScriptのバックドアを設置し対象組織のメールを窃取していました。過去に確認されている攻撃グループとの明確な関連性がないことから、トレンドマイクロはこれを実施した攻撃者を 「Earth Wendigo(アース ウェンディゴ)」と名付けました。標的型攻撃においては、台湾で確認された攻撃手法がその後に日本で確認されることも多く、国内利用者も注視すべき事例と言えます。
「DX(デジタルトランスフォーメーション)」や「2025年の崖」など新たなデジタル世界への対応と変革の必要性が叫ばれる中、そのシンプルさと柔軟性の高さからマイクロサービスアーキテクチャを採用する企業や組織が増えています。実際、2019年に行われた調査では、大企業のITリーダの89%は「進化し続けるデジタル世界で企業が競争力を維持するためにはマイクロサービスが不可欠」と考えていることが報告されており、今後より多くの開発者がオンプレミスやクラウドサービス内にコンテナを展開することが予想されます。しかしクラウド上のコンテナではセキュリティ管理の不備により重要データが不用意に露出する可能性があり、攻撃者にとって格好の的となる恐れがあります。具体的には露出したRedisインスタンス内に暗号資産採掘ツール(コインマイナー)が展開されたり、Docker Hub上でコミュニティが共有するコンテナイメージを悪用して不正コンテナが展開されたりするなど、設定に不備のあるサービスを狙った攻撃が継続的に確認されています。また別の事例ではコインマイナーが感染したLinuxシステム内に既存する別のコインマイナーを検索して削除し自身の計算能力を最大化させる動きも確認しました。このコインマイナーはDockerやRedisのプラットフォーム内で露出したアプリケーションプログラミングインターフェース(API)を検索していたことから、攻撃者がこれらのプラットフォームに精通していることが示唆されます。
そして今回トレンドマイクロでは、さらに上記とは異なる攻撃手口を確認しました。この攻撃はいわゆる「コンテナエスケープ」の攻撃手法となっており、ルート権限のすべてを備えたホストマシン上のPrivileged(特権)コンテナからホスト側に「脱出」できるよう特別に作成されたペイロードが利用されました。注意すべき点は、Dockerを利用しているからといって、ユーザが使用するコンテナすべてが自動的に特権コンテナとなるわけではないことです。事実、Dockerユーザの多くは特権コンテナを使用していません。これはすなわち、適切なセキュリティを確保する方法を知らずに特権コンテナを使用することはリスクが高いことを示します。
近年、「Clubhouse」、「Riffr」、「Listen」、「Audlist」、「HearMeOut」など、「音声SNS」と呼ばれるアプリの利用者数はますます増加傾向にあります。今後は全世界で利用者が1日当たり約50万人、月間では約600万人程度も増加するという予測もあるほど、多くの関心を集めています。しかし他のアプリケーションと同様に、これらのアプリもセキュリティリスクが潜んでいる可能性があります。これらのアプリはそれ自体が本質的に悪意のあるものではなく、サイバー犯罪者がこれらのプラットフォームを侵害し悪用することで脅威に発展することに留意する必要があります。
本ブログ記事では、これらの音声SNSアプリ(Clubhouseを中心に、Riffr、Listen、Audlist、HearMeOutを含む)の解析結果から得た知見をもとにこれらのアプリに潜むセキュリティリスクについて実証し解説し、リスク回避の方法としていくつかの推奨事項を共有します。また、スタンフォード大学インターネット監視機関(The Stanford Internet Observatory, SIO)は、本記事に関連する脅威の調査結果を独自に報告しています。
続きを読むトレンドマイクロでは2020年の1年間における国内外での脅威動向について分析を行いました。新型コロナウイルス(COVID-19)のパンデミック(世界的大流行)により、2020年は過去に類を見ない特別な1年間となりました。日本でも緊急事態宣言や外出自粛要請があり、法人組織は事業を継続するために、急激なテレワークの推進などの大きな変化に直面しました。これらの状況により、さらに進んだネットワーク境界線の曖昧化を利用し、サイバー犯罪者はさまざまな手口を駆使した攻撃を次々に展開しました。境界線内、つまりネットワークへ侵入する脅威として、2020年の象徴的存在となったのが新たなランサムウェア攻撃であると言えます。
マルウェアキャンペーンの背後に潜む犯罪組織の正体を見極めるのは難しい作業です。サイバー犯罪者は標的であるユーザや企業を混乱に陥れたり、システムやネットワーク環境に危害を加えたりするために設計したソフトウェアに自身の正体が露呈するような痕跡を残すことはめったにありません。しかし、識別のカギとなる情報を既知の情報源と比較することで、そのキャンペーンが特定のサイバー犯罪集団によって実行された可能性が高いと判断することができます。これは犯罪組織が長年にわたり活動を継続し比較対象となる痕跡を多く残している場合、さらに信憑性が高くなります。トレンドマイクロが発見し「Operation Earth Kitsune」と名付けた標的型攻撃キャンペーンについてその「TTPs(=Tactics, Techniques and Procedures:戦術、技術、手順)」に関する詳細解析の結果をホワイトペーパー(英語)にまとめて公開し、本ブログでも概要について報告しました。このキャンペーンに関与した2種の新たなスパイ活動を行うバックドア型マルウェアを拡散する水飲み場型攻撃の技術的な詳細解析を行う中で、韓国を主な標的とすることで知られるサイバー犯罪集団「APT37(別名:Reaper、Group 123、ScaCruftなど)」に起因した別のマルウェアとの顕著な類似性を発見しました。
続きを読むフィッシングは現在もサイバー犯罪者がインターネット利用者を攻撃するうえで効果的な手口です。新型コロナウイルスの流行で消費者の購買手法が変化したことによってネットショッピングの利用は世界中で急激な増加を見せていますが、サイバー犯罪者もまたそれに対する攻撃キャンペーンを迅速に展開しています。トレンドマイクロでは昨年2020年末から、クレジットカード利用者を対象にした特定のフィッシングメールの攻撃キャンペーンに注目し、追跡しています。
このフィッシングキャンペーンの背後にいる攻撃者は、国営の郵便サービスによる配送に関連したフィッシングメールを送信し、利用者のクレジットカード番号を窃取します。送信されたフィッシングメールは、認証情報を詐取するためのフィッシングサイトへと利用者を誘導しようと試みます。この攻撃は、米国、スイス、中国、日本、シンガポールなど少なくとも26カ国に及ぶ広い範囲に送信されています。なお、このフィッシングキャンペーンについては、すでに香港の報道機関や米国でも報告されています。
2020年12月1日から2021年1月10日までの間に、郵便サービスを偽装する不審なフィッシング関連URL計279,308件(1日平均6,812件)が、トレンドマイクロのメール対策製品により検出されました。また、12月12日から18日までと、12月30日から1月5日までの期間において不審なURLの検出数が増加していることが確認されました。このようなデータからは、今後も郵便サービスを偽装するフィッシング攻撃が続くことが予想されます。
.jpg)
